12月18日-19日,首届“360安全特训营”在京举办。来自政府、金融机构等企业的40多位信息安全负责人与360公司的顶级安全专家们共聚一堂,探讨企业级信息安全之道,全面深入地了解了当前企业面临的攻击威胁及最新的防御措施。
全国顶尖“黑客”仅几千人
图:与会者围住演讲结束的360副总裁谭晓生,继续交流探讨
“我们公司招不到足够的安全人才,想做完备的体系有点有心无力,有没有什么好办法能解决这个问题?”某大型企业信息安全负责人在“360安全特训营”上问360副总裁谭晓生。“目前的现状是,安全人才的缺口确实很大,专业的安全公司对于安全人才的抢夺很激烈,所以大量普通企业安全未来的出路应该是安全服务外包。”谭晓生回答。
谭晓生透露:“目前在全国范围内,能独立组织网络攻防的顶尖‘黑客’,白道黑道全算上,只有几千人,这些人里有100多人在360公司,许多小的安全公司里,可能只有一到两位这样的人。安全人才呈现极度碎片化状态。”
随着传统企业不断的互联网化,企业的安全需求呈现爆炸式增长。基于目前的人才现状,以及顶尖安全人才培养的难度,比较现实的做法应该是将顶尖人才聚集成一个团队,由这个团队同时为若干家企业提供安全服务。
人是企业安全防护成败的关键
图:员工在企业安全中极其重要,“人”才是企业安全防护成败的关键
在“360安全特训营”整整两天的讲解与交流中,安全专家们多次提到人对企业安全防护的影响,总结起来说,“人”才是决定企业安全防护成败的关键。
前段时间,国内某网络设备巨头的服务器遭NSA入侵监听。这一事件的曝光再次敲响了企业安全防护的警钟。360网络攻防实验室负责人林伟表示,据对这个事件的分析,对方可能是利用APT手段“搞定”了公司老总的秘书,进而入侵到公司内网。
林伟进一步提醒企业的信息化负责人:“秘书、前台、快递、碎纸机这些看似毫无关联的人和物,都会成为泄露商业机密的关键因素。”他认为,在云计算与移动互联网全面普及、社交网络大行其道的今天,“人”是决定企业安全防护成败的关键。新一代的企业安全防御体系不仅需要优秀产品和技术,更需要企业全员高度统一的安全意识,这样才能事半功倍。
360网站卫士产品经理董方也认为: “员工在企业安全中极其重要,无论问题最初看起来怎样,它始终是人的问题”。
企业需构建立体联动安全体系
图:360 UnicornTeam负责人杨卿展示的无线威胁场景引起与会者围观
随着万物互联时代的到来,单一的安全产品已不能满足企业的网络防御需要。
当360 UnicornTeam负责人杨卿讲解国内无线安全现状的时候,汽车、防盗门、银行卡、地铁、停车管理等多个威胁场景,让与会者都直观感受到了这种无处不在的安全隐患。
针对这种无处不在的威胁,360高级安全咨询经理张晟表示,我们已经进入新的企业安全时代,不仅要配备专业安全运营维护团队,还迫切需要建立一个立体联动的安全体系,这个基于大数据的体系,需要取得决策层的全力支持,更需要内部员工的集体参与。”
360企业安全售前总监李博以360公司独有的的立体联动安全防御体系为例,让与会者对立体联动有了更深入的了解。这套体系没有配置网络防火墙,也没有设置IPS,李博将这套防御体系概括为“一个整体防护中心、两个安全原则、三道安全防线和四个被威胁假设。”
谭晓生的比喻颇为形象:“立体联动安全防御体系,说穿了就是由过去的城墙防御变成塔防游戏”。在塔防游戏体系下,企业在云、网、端上部署了若干防御点,攻击者如果要发动威胁需要过一道一道的关,而各个关口可以联动防御,直至攻击威胁被消除。
背景链接:
“360安全特训营”,是由360公司推出的全方位增值培训服务,面向政府和企业的信息化安全负责人。通过一线安全专家的亲身讲解,真实攻防案例的现场演示,最新安全产品和技术的体验,360公司安全防御体系的分享等四大环节,深入探讨企业级信息安全之道,帮助企业度身制定最适合自身的安全防护体系。
